网络环路分析

来源:本站原创 网络技术 超过1,541 views围观 0条评论

clip_image001网络环路分析

某公司网络全部为内部网络,不与 internet 连接,出口防火墙连接集团内

网,下联核心交换机,核心交换机下连“下属单位”防火墙。如下图所示:

前一段时间上午 8-10 点左右网络及应用访问缓慢,内网用户 ping DMZ 区

服务器时会产生大量丢包,甚至无法正常提供服务,而且会不定时的网络访问慢,

严重的影响了正常的工作。经过一段时间的排查,并没有发现网络及应用产生故

障的原因。

这时通过网络中部署的科来网络回溯分析系统对之前发生的问题进行长时

间的回溯分析,定位到故障发生的时段,来重现故障当时的情景,以便帮助我们

找到产生问题的根本原因,解决问题。

clip_image002上图为发生异常的 3 小时的流量视图,并且为网络总流量及进出流量做出统

计,可以看到总流量已经占出口带宽的 70%左右,峰值达到了 682.35Mbps,

顺时的网络利用率甚至更高,已经达到非常高网络利用率,会造成大量的数据包

丢失。

详细分析:

经过针对网络应用分析,发现这 3 小时的数据中,未知的 UDP 应用流量占

用了总流量的 99%以上(如下图)。

clip_image003通过进行未知 UDP 应用的深入挖掘分析,可以发现大量 UDP 2425 端口

的单方向通讯。

所以基本我们可以确定网络中产生大数据量传输导致网络慢的原因就是内

网中这些使用 UDP 2425 端口进行通讯的数据占用了网络的大量带宽,导致网

络中产生很多丢包,造成访问应用系统慢。

查找占用带宽较大的 ip 时,发现基本所有大流量传输的 ip 地址均为“该公

司下属单位”网段的 ip 地址。

经过查阅资料和 udp 会话分析发现,使用 UDP2425 端口是飞秋软件,飞

秋(FeiQ)是一款局域网聊天传送文件的绿色软件,它参考了飞鸽传书(IPMSG)和

QQ, 完全兼容飞鸽传书(IPMSG)协议。

通过“下载分析”针对一个 UDP2425 会话进行解码分析,发现数据包的标

clip_image004识相同且 TTL 值递减,每次捕获的 TTL 的值都是递减 2,可能存在路由环路,

这就造成了大量相同的数据重复传输,导致网络性能降低,大量丢包。

网络环路分析:

下载数据包进行精细分析,我们可以对其中的两台主机传输的数据包进行解

码分析,发现数据中存在大量 IP 端口相同并且具有相同的 ip 标识位的数据包,

这就证明了这个主机之间传输的数据包为同一个数据包。

再来定位到数据包中的 TTL 字段,发现数据包的 TTL 值呈现逐步递减的趋

势,每个数据包 TTL 值减二,这就说明了这个数据包在传输的过程中经过了 2

个三层设备的处理后又回到了核心交换机与防火墙上联的接口,被再次捕获。

clip_image005经过确认,在防火墙上发现一条为 192.168.0.0/16 指向核心交换机的路由。

这就造成了“下属公司“网段中发往 192.168.0.0/16 网段的数据包,由于在核

心交换机没有精确匹配的路由,所以通过核心交换机的默认路由指向防火墙,而

经过防火墙后被防火墙的 192.168.0.0/16 路由指回核心交换机,这样就形成了

路由环路。

分析结果:

通过对内网的整体流量分析,发现大量未知 UDP2425 流量,占用总带宽的

99%,导致网络其他访问慢。经过“下载分析”发现由于路由环路导致。

其中“下属公司“的网段到总部的一些网段之间路由配置存在问题,产生路

由环路,造成了核心交换和防火墙之间传输大量数据,阻塞链路带宽,造成网络

传输效率降低,产生网络问题。

紧急处理办法:

通过联系“下属公司”网络管理员,禁止了“下属公司“的防火墙到核心交

换机的 UDP2425 的流量,之后网络流量恢复正常。故障现象基本消失,网络恢

复正常。

网络优化建议:

针对本次流量异常情况,我们建议修改防火墙上的路由配置,精细路由条目,

进行整理规划,或禁止 UDP2425 的流量。

类似的路由环路可以通过“黑洞路由”的方式避免,在上级路由器使用汇总

路由,而下级路由器配置缺省路由,同时汇总的网段中有部分子网未使用的情况

下,最好在下级设备中额外配置一条静态路由,将汇总的大网段指向空接口。例

如:上级设备(防火墙)配置 192.168.0.0/16 指向下级核心交换机,下级核心

交换机则配置 192.168.0.0/16 指向“null 0”接口(针对 cisco 路由器)。由于

路由转发遵循精确匹配原则,这样配置不会影响下级路由器已配置的子网访问,

只是将目标地址为未配置的子网主机的数据包丢弃,避免环路发生。

文章出自:CCIE那点事 http://www.jdccie.com/ 版权所有。本站文章除注明出处外,皆为作者原创文章,可自由引用,但请注明来源。 禁止全文转载。
本文标题:网络环路分析
本文链接:http://www.jdccie.com/?p=1503转载请注明转自CCIE那点事
如果喜欢:点此订阅本站
  • 相关文章
  • 为您推荐
  • 各种观点

暂时还木有人评论,坐等沙发!
发表评论

您必须 [ 登录 ] 才能发表留言!